来源：器械之家，未经授权不得转载，且24小时后方可转载

3月9日，美国得克萨斯州州长Greg Abbot正式发布行政指令，要求州卫生与公众服务委员会（HHSC）、州卫生服务部（DSHS）及公立高等教育机构等相关单位，全面审查辖区内公立医疗机构使用的中国产医疗设备网络安全政策，同时对联网医疗设备进行彻底盘点，并于4月17日前提交安全评估建议，为是否禁用特定中国品牌提供决策依据。

这一举措背后，是美国联邦监管机构此前披露的中国产患者监护仪 “后门” 漏洞丑闻，以及全球医疗设备行业日益收紧的网络安全合规要求。

01

德州州长下令

严查中国医疗器械

事件的导火索可追溯至2025年1月30日FDA发布的安全通告，该通告明确指出康泰（Contec）CMS8000及Epsimed的MN-120两款患者监护仪存在严重网络安全漏洞。

后续CISA的技术分析进一步显示，这些设备的固件中嵌入了带有硬编码IP地址的隐藏“后门”功能（CVE-2025-0626），黑客可通过该后门实现远程代码执行、设备配置篡改，甚至窃取包含患者个人身份信息（PII）和受保护健康信息（PHI）的敏感数据（CVE-2025-0683）。值得关注的是，Epsimed MN-120 实为康泰CMS8000的贴牌产品，相关漏洞存在于所有测试的固件版本中，包括2.0.6正式版及2.0.8预发布版。

“这些漏洞绝非偶然，可能直接威胁患者生命安全。”CISA在技术报告中强调，被篡改的监护仪可能提供错误的生命体征数据，导致临床诊疗决策失误。尽管康泰后续推出软件补丁，通过移除网络功能将设备限制为本地监控模式，但FDA明确要求医疗机构需由专业人员操作安装，凸显了漏洞修复的复杂性。

此次得州审查并非孤立行动，而是美国联邦层面监管升级的延续。2024年11月签署的GA-48号行政令已强调医疗设备采购的安全合规要求，2025年6月白宫发布的供应链安全行政令进一步提出减少医疗设备对外依赖。而2026年2月FDA最新发布的《医疗器械网络安全：质量管理体系考量与上市前提交内容》指南，更是将网络安全纳入医疗器械全生命周期管理，要求制造商必须提交安全产品开发框架（SPDF）、多维度安全架构视图及软件物料清单（SBOM），对漏洞测试和补丁管理提出强制性要求。

02

审查细则落地

全球合规压力倒逼行业升级

根据Greg Abbot的指令，得州网络司令部（TXCC）将牵头核心审查工作：一方面评估康泰CMS8000、Epsimed MN-120等涉事设备是否纳入州级禁用技术清单；另一方面联合相关机构优化医疗设备采购政策，建立突发网络安全风险的监测与缓解机制。同时，HHSC需向全州医疗机构普及FDA的漏洞上报渠道，形成监管闭环。

业内人士指出，此次事件将对中国医疗设备出口带来深远影响。目前，康泰等企业的产品已进入美国、欧盟的医院、诊所及家庭医疗场景，此次 “后门” 漏洞曝光可能引发全球范围的审查。FDA 2026版新规明确要求，网络器械制造商必须建立协同漏洞披露（CVD）流程，持续监控并修复上市后产品漏洞，这意味着中国企业需从设计阶段就嵌入安全架构，而非事后补丁。

“安全已成为医疗设备出海的核心竞争力。” 行业分析师表示，随着全球医疗数字化加速，联网设备的网络安全漏洞已成为公共卫生领域的新威胁。此次得州审查事件再次警示，中国医疗设备企业需加快对接国际标准，完善供应链安全管理，通过SPDF框架构建全生命周期安全体系，才能在全球监管趋严的市场环境中站稳脚跟。目前，相关审查工作已全面启动，4月17日的评估报告或将成为中美医疗设备贸易安全博弈的新节点。